Com o avanço da tecnologia dentro dos ambientes corporativos, o tratamento e compartilhamento de dados se tornou inevitável. E logo, houve a necessidade de regulamentar as atividades de tratamento de dados pessoais, fazendo com que surgisse a Lei Geral de Proteção de Dados Pessoais (LGPD), e juntamente alguns personagens essenciais, como o profissional: Data Protection (DPO) ou Encarregado de Dados, a seguir, vamos entender melhor o papel desse profissional.
É importante destacar que a LGPD não veio para inviabilizar a atividade econômica do seu negócio. Pelo contrário, através do desenvolvimento de uma economia confiante e segura, a intenção é alavancar a atividade econômica dos negócios no Brasil.
O que é um DPO?
O DPO (Data Protection Officer), ou na versão brasileira, Encarregado de Dados, é uma pessoa indicada pelo controlador ou operador para fazer a interlocução entre a empresa, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD), a fim de garantir o cumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD).
Quem pode ser nomeado DPO?
O DPO pode ser tanto pessoa física quanto pessoa jurídica, sendo ela contratada interna ou terceirizada, uma ou mais pessoas. Assim, a organização poderá indicar um colaborador interno para acumular a função como DPO, contudo, o profissional precisará de treinamentos e certificações para conseguir analisar todo o cenário da organização antes de deixá-la em conformidade com a lei, e podendo gerar conflito de interesse em virtude de suas outras funções já empenhadas, ou contratar um DPO as a Service, que é um DPO terceirizado e especialista em segurança e privacidade de dados.
A Lei Geral de Proteção de Dados Pessoais, não determinada que o Data Protection Officer deve ser um Advogado(a) ou Profissional de TI. No entanto, a pessoa nomeada deverá conhecer a Lei Geral de Proteção de Dados Pessoais e setoriais com muita propriedade, Gestão de Empresa e Projetos, Segurança da Informação e Tecnologia da Informação.
Quais as atribuições do DPO segundo a LGPD?
Em seu trabalho, ele auxilia a empresa a adaptar seus processos para estruturar um programa de compliance com foco em maior segurança das informações que estão sob a sua tutela.
Contudo, a sua atuação, que não é aleatória, segue regras específicas reforçadas pela Lei Geral de Proteção de Dados Pessoais.
A Lei Geral de Proteção de Dados Pessoais traz diretrizes para as funções do Data Protection Officer ou Encarregado de Dados, como a determinação de que a identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico da empresa.
Nos termos do artigo 41, e seus parágrafos da Lei Geral de Proteção de Dados Pessoais, elucida as atividades inerentes ao do Data Protection Officer ou Encarregado de Dados, tais como:
I – Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – Receber comunicações da autoridade nacional e adotar providências;
III – Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Sendo, que a Autoridade Nacional de Proteção de Dados (ANPD), poderá estabelecer normas complementares sobre a definição e as atribuições do Data Protection Officer ou Encarregado de Dados.
No entanto, na prática, sua função vai além disso. O Data Protection Officer ou Encarregado de dados tem um papel fundamental na adequação à Lei Geral de Proteção de Dados Pessoais, sendo o responsável por auxiliar e orientar as empresas nos processos relacionados à conformidade com a lei e à proteção de dados.
Quais empresas precisam nomear DPO?
A princípio a Lei Geral de Proteção de Dados Pessoais, determinava que todas as empresas, independentemente do porte, deveriam nomear uma pessoa para o cargo de DPO.
Contudo, a Lei Geral de Proteção de Dados Pessoais, previu que a Autoridade Nacional de Proteção de Dados (ANPD) poderia regulamentar uma eventual dispensa do encarregado em determinados casos.
Assim, em janeiro de 2022, uma resolução da ANPD (Número 2) flexibilizou uma série de pontos da Lei Geral de Proteção de Dados Pessoais para pequenas empresas e startups. A resolução apresenta a possibilidade de adoção de procedimentos simplificados e diferenciados, facilitando a conformidade desse grupo à LGPD e contribuindo para a disseminação da cultura de proteção de dados pessoais. “Essa alternativa regulatória visa a garantir os direitos dos titulares, ao tempo em que traz equilíbrio entre as regras constantes da LGPD e o porte do agente de tratamento de dados”, defende o relator da proposta no conselho diretor da Autoridade, Arthur Sabbat.
Com as novas regras, a indicação de um DPO passou a ser opcional para pequenas empresas e startups, e continuou sendo obrigatória para todas as outras empresas. Nos casos em que o cargo é obrigatório, ele vale também para empresas que têm papel preponderante de operador, e não de controlador, como as empresas de call center.
Vale destacar que, independentemente da obrigatoriedade ou não do cargo, a presença de um DPO configura boa prática para a manutenção do programa de conformidade da organização, e ele é importante para o cumprimento das demais obrigações estipuladas na LGPD, uma vez que, apesar da não obrigatoriedade da nomeação, as obrigações relativas ao cargo continuam existindo, assim como as demais determinações da LGPD.
E lembre-se: DPO capacitado, empresa tranquila e adequada à Lei Geral de Proteção de Dados.
A Legal Comply conta com um time de profissionais capacitados para atuarem com DPO as a service.
Edgard Dolata